Sécurité SAP - Concept d'autorisation système

Le concept d'autorisation du système SAP traite de la protection du système SAP contre les transactions et programmes en cours d'exécution contre les accès non autorisés. Vous ne devez pas autoriser les utilisateurs à exécuter des transactions et des programmes dans le système SAP tant qu'ils n'ont pas défini l'autorisation pour cette activité.

Pour rendre votre système plus sécurisé et mettre en œuvre une autorisation forte, vous devez examiner votre plan d'autorisation pour vous assurer qu'il répond aux exigences de sécurité de l'entreprise et qu'il n'y a pas de violation de la sécurité.

Types d'utilisateurs

Dans les versions précédentes du système SAP, les types d'utilisateurs n'étaient divisés qu'en deux catégories: les utilisateurs Dialog et Non Dialog et seuls les utilisateurs non Dialog étaient recommandés pour la communication entre deux systèmes. Avec SAP 4.6C, les types d'utilisateurs ont été divisés dans les catégories suivantes -

  • Dialog User- Cet utilisateur est utilisé pour l'accès individuel au système interactif et la plupart du travail du client est effectué à l'aide d'un utilisateur de dialogue. Le mot de passe peut être modifié par l'utilisateur lui-même. Dans l'utilisateur de dialogue, plusieurs ouvertures de session de dialogue peuvent être empêchées.

  • Service User- Ceci est utilisé pour effectuer un accès interactif au système pour effectuer certaines tâches prédéterminées comme l'affichage du catalogue de produits. Plusieurs connexions sont autorisées pour cet utilisateur et seul un administrateur peut modifier le mot de passe de cet utilisateur.

  • System User- Cet ID utilisateur est utilisé pour effectuer la plupart des tâches liées au système - Système de gestion du transport, définition des flux de travail et ALE. Il ne s'agit pas d'un utilisateur dépendant du système interactif et plusieurs connexions sont autorisées pour cet utilisateur.

  • Reference User- Un utilisateur de référence n'est pas utilisé pour se connecter à un système SAP. Cet utilisateur est utilisé pour fournir une autorisation supplémentaire aux utilisateurs internes. Dans un système SAP, vous pouvez accéder à l'onglet Rôles et spécifier un utilisateur de référence pour des droits supplémentaires pour les utilisateurs de boîte de dialogue.

  • Communication Users- Ce type d'utilisateur est utilisé pour maintenir une connexion sans dialogue entre différents systèmes tels que la connexion RFC, CPIC. La connexion Dialog à l'aide de SAP GUI n'est pas possible pour les utilisateurs de Communication. Un type d'utilisateur peut modifier ses mots de passe comme les utilisateurs de boîte de dialogue courants. Le module fonctionnel RFC peut être utilisé pour changer le mot de passe.

Le code de transaction: SU01est utilisé pour la création d'utilisateurs dans un système SAP. Dans l'écran suivant, vous pouvez voir différents types d'utilisateurs dans un système SAP sous la transaction SU01.

Créer un utilisateur

Pour créer un ou plusieurs utilisateurs avec des droits d'accès différents dans un système SAP, vous devez suivre les étapes ci-dessous.

Step 1 - Utiliser le code de transaction - SU01.

Step 2 - Entrez le nom d'utilisateur que vous souhaitez créer, cliquez sur l'icône de création comme indiqué dans la capture d'écran suivante.

Step 3- Vous serez dirigé vers l'onglet suivant - l'onglet Adresse. Ici, vous devez entrer les détails tels que le prénom, le nom, le numéro de téléphone, l'adresse e-mail, etc.

Step 4 - Vous serez ensuite dirigé vers l'onglet suivant - Logon Data. Entrez le type d'utilisateur sous l'onglet Données de connexion. Nous avons cinq types d'utilisateurs différents.

Step 5 - Tapez le premier mot de passe de connexion → Nouveau mot de passe → Répéter le mot de passe.

Step 6 - Vous serez dirigé vers l'onglet suivant - Rôles - Attribuez les rôles à l'utilisateur.

Step 7 - Vous serez ensuite dirigé vers l'onglet suivant - Profils - Attribuer les profils aux utilisateurs.

Step 8 - Cliquez sur Enregistrer pour recevoir une confirmation.

Administration centrale des utilisateurs (CUA)

L'administration centrale des utilisateurs est l'un des concepts clés qui vous permet de gérer tous les utilisateurs dans un paysage système SAP à l'aide d'un système central. À l'aide de cet outil, vous pouvez gérer toutes les fiches utilisateur de manière centralisée dans un seul système. Un administrateur d'utilisateurs central vous permet d'économiser de l'argent et des ressources en gérant des utilisateurs similaires dans un même paysage système.

Les avantages de l'administration centrale des utilisateurs sont:

  • Lorsque vous configurez CUA dans SAP Landscape, vous pouvez créer ou supprimer des utilisateurs en utilisant uniquement le système central.

  • Tous les rôles et autorisations requis existent dans un système enfant sous des formes actives.

  • Tous les utilisateurs sont surveillés et gérés de manière centralisée, ce qui rend la tâche d'administration une vue plus simple et plus claire de toutes les activités de gestion des utilisateurs dans un paysage système complexe.

  • L'administrateur central des utilisateurs vous permet d'économiser de l'argent et des ressources en gérant des utilisateurs similaires dans un seul environnement système.

Les échanges de données réalisés à l'aide du ALE paysage appelé Application Link Enablingcela permet d'échanger les données de manière contrôlée. ALE est utilisé par l'administrateur central des utilisateurs pour l'échange de données avec les systèmes enfants dans un paysage système SAP.

Dans un environnement de paysage complexe, vous définissez un système comme système central avec environnement ALE et il est lié à tous les systèmes enfants à l'aide d'un échange de données bidirectionnel. Les systèmes enfants dans le paysage ne sont pas connectés les uns aux autres.

Pour implémenter l'administration centrale des utilisateurs, les points suivants doivent être pris en compte -

  • Vous avez besoin d'un environnement SAP avec plusieurs clients dans un environnement unique / distribué.

  • Administrateur pour gérer les utilisateurs, besoin d'une autorisation sur les codes de transaction suivants -

    • SU01

    • SCC4

    • SCUA

    • SCUM

    • SM59

    • BD54

    • BD64

  • Vous devez créer une relation de confiance et de confiance entre les systèmes.

  • Vous devez créer des utilisateurs système dans le système central et enfant.

  • Créez un système logique et attribuez un système logique au client correspondant.

  • Créez une vue de modèle et une BAPI en vue de modèle.

  • Créez un administrateur d'utilisateurs central et définissez les paramètres de distribution des champs.

  • Synchroniser les adresses de l'entreprise

  • Transférer des utilisateurs

Dans un environnement géré de manière centralisée, vous devez d'abord créer un administrateur. Connectez-vous à tous les systèmes logiques du futur CUA en tant qu'utilisateur SAP * avec le mot de passe par défaut PASS.

Exécutez la transaction SU01 et créez un utilisateur avec le rôle d'administrateur qui lui est attribué.

Pour définir un système logique, utilisez Transaction BD54. Cliquez sur Nouvelles entrées pour créer un nouveau système logique.

Créez un nouveau nom logique en majuscules pour l'administration centrale des utilisateurs pour les systèmes centraux et tous les systèmes enfants, y compris ceux d'autres systèmes SAP.

Pour identifier facilement le système, vous disposez de la convention de dénomination suivante qui peut être utilisée pour identifier le système d'administration centrale des utilisateurs:

<System ID>CLNT<Client>

Entrez une description utile d'un système logique. Enregistrez votre entrée en cliquant sur leSavebouton. Il faut ensuite créer le nom logique du système pour le système central dans tous les systèmes enfants.

Pour attribuer un système logique à un client, utilisez Transaction SCC4 et passez en mode Changement.

Ouvrez le client que vous souhaitez affecter au système logique en double-cliquant ou en cliquant sur le Detailsbouton. Un client ne peut être affecté qu'à un seul système logique.

Dans un champ de système logique dans les détails du client, entrez un nom de système logique auquel vous souhaitez attribuer ce client.

Exécutez les étapes ci-dessus pour tous les clients d'un environnement SAP que vous souhaitez inclure dans l'administrateur central des utilisateurs. Pour enregistrer vos paramètres, cliquez sur leSave bouton en haut.

Protéger des profils spécifiques dans SAP

Pour maintenir la sécurité dans un système SAP, vous devez gérer des profils spécifiques contenant des autorisations critiques. Il existe différents profils d'autorisation SAP que vous devez protéger dans un système SAP disposant d'une autorisation complète.

Quelques profils qui doivent être protégés dans un système SAP sont:

  • SAP_ALL
  • SAP_NEW
  • P_BAS_ALL

Profil d'autorisation SAP_ALL

Un profil d'autorisation SAP_ALL permet à l'utilisateur d'exécuter toutes les tâches dans un système SAP. Il s'agit du profil composite qui contient toutes les autorisations dans un système SAP. Les utilisateurs disposant de cette autorisation peuvent effectuer toutes les activités dans un système SAP, ce profil ne doit donc être attribué à aucun utilisateur de votre système.

Il est recommandé de conserver un seul utilisateur avec un profil. Alors que le mot de passe doit être bien protégé pour cet utilisateur et il ne doit être utilisé que lorsqu'il est nécessaire.

Au lieu d'attribuer des autorisations SAP_ALL, vous devez attribuer des autorisations individuelles aux utilisateurs appropriés. Votre superutilisateur système / Administration système, au lieu de leur attribuer l'autorisation SAP_ALL, vous devez utiliser les autorisations individuelles requises.

Autorisation SAP_NEW

Une autorisation SAP_NEW contient toutes les autorisations requises dans une nouvelle version. Lorsqu'une mise à niveau du système est effectuée, ce profil est utilisé pour que certaines tâches s'exécutent correctement.

Vous devez vous rappeler les points suivants concernant cette autorisation -

  • Lorsqu'une mise à niveau du système est effectuée, vous devez supprimer les profils SAP_NEW pour les versions antérieures.

  • Vous devez attribuer des autorisations distinctes sous le profil SAP_NEW à différents utilisateurs de votre environnement.

  • Ce profil ne doit pas rester actif trop longtemps.

  • Lorsque vous disposez d'une longue liste de profils SAP_NEW dans l'environnement, cela indique que vous devez revoir votre stratégie d'autorisation dans le système.

Pour voir la liste de tous les profils SAP_NEW, vous devez sélectionner ce profil en double-cliquant puis → aller à Choose.

Autorisation P_BAS_ALL

Cette autorisation permet à l'utilisateur de visualiser le contenu des tableaux d'autres applications. Cette autorisation contientP_TABU_DISautorisation. Cette autorisation permet à l'utilisateur PA de voir le contenu de la table qui n'appartient pas à son groupe.

Maintenance des rôles PFCG

La gestion des rôles PFCG peut être utilisée pour gérer les rôles et les autorisations dans un système SAP. Dans PFCG, le rôle représente un travail qu'une personne effectue en rapport avec des scénarios de la vie réelle. PFCG vous permet de définir un ensemble de transactions qui peuvent être attribuées à une personne pour effectuer son travail quotidien.

Lorsque les rôles sont créés dans une transaction PFCG, vous pouvez utiliser Transaction SU01pour attribuer ces rôles à des utilisateurs individuels. Un utilisateur dans un système SAP peut se voir attribuer plusieurs rôles et qui sont liés à sa tâche quotidienne dans la vie réelle.

Ces rôles sont en relation entre l'utilisateur et les autorisations dans un système SAP. Les autorisations et profils réels sont stockés sous forme d'objets dans un système SAP.

À l'aide de la maintenance des rôles PFCG, vous pouvez exécuter les fonctions suivantes:

  • Modification et attribution de rôles
  • Créer des rôles
  • Création de rôles composites
  • Transport et distribution de rôles

Parlons maintenant de ces fonctions en détail.

Modification et attribution de rôles

Exécuter la transaction: PFCG

Cela vous mènera à la fenêtre de maintenance des rôles. Pour modifier le rôle existant, saisissez le nom du rôle livré dans le champ.

Copiez le rôle standard en cliquant sur le bouton Copier le rôle. Entrez le nom de l'espace de noms. Cliquez sur le bouton de sélection de valeur et sélectionnez le rôle dans lequel vous souhaitez copier cela.

Vous pouvez également sélectionner les rôles fournis par SAP commence par SAP_, mais les rôles par défaut seront écrasés.

Pour changer de rôle, cliquez sur le Change bouton dans la maintenance des rôles.

Accédez à l'onglet Menu pour modifier le menu utilisateur sur la page à onglet Menu. Accédez à l'onglet Autorisation pour modifier les données d'autorisation de cet utilisateur.

Vous pouvez également utiliser le Mode Expert pour ajuster les autorisations pour les changements de menu sous Autorisation. Cliquez sur le bouton Générer pour générer le profil de ce rôle.

Pour affecter les utilisateurs à ce rôle, accédez à l'onglet Utilisateur dans l'option Changements de rôle. Pour affecter un utilisateur à ce rôle, il doit exister dans le système.

Vous pouvez également effectuer une comparaison d'utilisateurs si nécessaire. Cliquez sur l'option Comparaison des utilisateurs. Vous pouvez également cliquer sur le bouton Information pour en savoir plus sur les rôles simples et composites et l'option Comparaison d'utilisateurs pour comparer les enregistrements principaux.

Création de rôles dans PFCG

Vous pouvez créer à la fois des rôles uniques et des rôles composites dans PFCG. Entrez le nom du rôle et cliquez sur Créer des rôles uniques ou composites comme indiqué dans la capture d'écran ci-dessous.

Vous pouvez sélectionner un espace de noms client comme Y_ ou Z_. Les rôles fournis par SAP commencent par SAP_ et vous ne pouvez pas prendre le nom des rôles fournis par SAP.

Une fois que vous avez cliqué sur le bouton Créer un rôle, vous devez ajouter des transactions, des rapports et des adresses Web sous l'onglet MENU dans la définition du rôle.

Accédez à l'onglet Autorisation pour générer le profil, cliquez sur l'option Modifier les données d'autorisation.

Conformément à votre sélection d'activités, vous êtes invité à entrer les niveaux organisationnels. Lorsque vous entrez une valeur particulière dans la boîte de dialogue, les champs d'autorisation du rôle sont automatiquement gérés.

Vous pouvez adapter la référence pour les rôles. Une fois la définition de rôle effectuée, vous devez générer le rôle. Cliquez sur Générer (Shift + F5).

Dans cette structure, lorsque vous voyez des feux rouges, cela montre les niveaux organisationnels sans valeurs. Vous pouvez entrer et modifier des niveaux d'organisation avec Niveaux d'organisation en regard de l'onglet Géré.

Entrez le nom du profil et cliquez sur l'option de coche pour terminer l'étape Générer.

Cliquer sur Savepour enregistrer le profil. Vous pouvez attribuer directement ce rôle aux utilisateurs en accédant aux onglets Utilisateur. De la même manière, vous pouvez créer des rôles composites à l'aide de l'option de maintenance des rôles PFCG.

Transport et distribution de rôles

Exécutez la transaction - PFCG et entrez le nom du rôle que vous souhaitez transporter et cliquez sur Transport Role.

Vous atteindrez l'option de transport de rôle. Vous avez plusieurs options sous les rôles de transport -

  • Transporter des rôles uniques pour les rôles composites.
  • Transporter les profils générés pour les rôles.
  • Données de personnalisation.

Dans la boîte de dialogue suivante, vous devez mentionner l'affectation de l'utilisateur et les données de personnalisation doivent également être transportées. Si les affectations d'utilisateurs sont également transportées, elles remplaceront l'ensemble de l'attribution des rôles utilisateur dans le système cible.

Pour verrouiller un système afin que les affectations de rôles utilisateur ne puissent pas être importées, saisissez-le dans le tableau du Customizing PRGN_CUST en utilisant la transaction SM30 et sélectionnez le champ de valeur USER_REL_IMPORT number.

Ce rôle est saisi dans la demande de personnalisation. Vous pouvez voir cela à l'aide de TransactionSE10.

Dans la demande de Customizing, les profils d'autorisation sont transportés avec les rôles.

Transaction du système d'informations d'autorisation - SUIM

Dans la gestion des autorisations, SUIM est un outil clé à l'aide duquel vous pouvez trouver les profils utilisateur dans un système SAP et peut également affecter ces profils à cet ID utilisateur. SUIM fournit un écran initial qui fournit des options de recherche d'utilisateurs, de rôles, de profils, d'autorisations, de transactions et de comparaison.

Pour ouvrir le système d'information utilisateur, exécutez la transaction: SUIM.

Dans un système d'information utilisateur, vous disposez de différents nœuds qui peuvent être utilisés pour exécuter différentes fonctions dans un système SAP. Comme dans un nœud Utilisateur, vous pouvez effectuer une recherche sur les utilisateurs en fonction de critères de sélection. Vous pouvez obtenir la liste verrouillée des utilisateurs, des utilisateurs ayant accès à un ensemble particulier de transactions, etc.

Lorsque vous développez chaque onglet, vous avez la possibilité de générer différents rapports en fonction de différents critères de sélection. Comme lorsque vous développez l'onglet utilisateur, vous avez les options suivantes -

Lorsque vous cliquez sur des utilisateurs selon des critères de sélection complexes, vous pouvez appliquer plusieurs conditions de sélection simultanément. La capture d'écran suivante vous montre différents critères de sélection.

Nœud de rôle

De la même manière, vous pouvez accéder à différents nœuds tels que les rôles, les profils, les autorisations et diverses autres options sous ce système d'information utilisateur.

Vous pouvez également utiliser l'outil SUIM pour rechercher des rôles et des profils. Vous pouvez attribuer une liste de transactions à un ensemble particulier d'ID utilisateur en effectuant une recherche par transaction et affectation dans SUIM et attribuer ces rôles à cet ID utilisateur.

À l'aide du système d'information utilisateur, vous pouvez effectuer diverses recherches dans un système SAP. Vous pouvez saisir différents critères de sélection et extraire les rapports en fonction des utilisateurs, des profils, des rôles, des transactions et de divers autres critères.

RSUSR002 - Utilisateurs par critères de sélection complexes.